CVE-2026-12133
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Wtyczka JoomSport dla WordPressa do wersji 5.7.8 włącznie zawiera lukę braku autoryzacji w funkcji AJAX joomsport_season_groupdel(). Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta lub wyższym usunięcie dowolnych grup JoomSport bez wymaganej kontroli uprawnień.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane usunięcie danych grup sportowych, co może prowadzić do utraty integralności danych i zakłócenia działania lig, drużyn czy innych struktur zarządzanych przez wtyczkę.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę JoomSport do najnowszej dostępnej wersji, która zawiera poprawkę usuwającą lukę. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę lub ogranicz dostęp do funkcji AJAX dla nieuprawnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The JoomSport – for Sports: Team & League, Football, Hockey & more plugin for WordPress is vulnerable to Missing Authorization to Arbitrary Group Deletion in versions up to, and including, 5.7.8. This is due to a missing capability check in the joomsport_season_groupdel() AJAX handler, which only verifies a nonce before executing a DELETE query on attacker-supplied group IDs. This makes it possible for authenticated attackers, with Subscriber-level access and above, to delete arbitrary JoomSport group records.

